Heartbleed, une faille majeure de sécurité d'OpenSSL

18 avril 2014 à 14h03
- Mis à jour le 16 janvier 2019 à 17h40 -

Heartbleed est le nom d'une faille de sécurité découverte il y a quelques semaines, affectant la bibliothèque OpenSSL utilisée par des centaines de milliers de sites Internet.Internet fait souvent la une des médias pour des problèmes de sécurité, mais les révélations il y a quelques semaines d'une faille majeure dans une des bibliothèques de l'extension HeartBeat de la bibliothèque OpenSSL, risque bien de battre tous les records.

Heartbleed est le nom d'une faille de sécurité découverte il y a quelques semaines, affectant la bibliothèque OpenSSL utilisée par des centaines de milliers de sites Internet.HeartBleed affecte OpenSSL width=Internet fait souvent la une des médias pour des problèmes de sécurité, mais les révélations il y a quelques semaines d'une faille majeure dans une des bibliothèques de l'extension HeartBeat de la bibliothèque OpenSSL, risque bien de battre tous les records.

Utilisée par des centaines de milliers de sites Internet, beaucoup plus pour certains analystes (McAfee annonce que les deux tiers des sites Web ont pu être affecté par le bug Heartbleed), ce logiciel de chiffrement OpenSSL est en charge notamment de la protection des noms d'utilisateur, des mots de passe, des numéros de cartes de crédit et autres données sensibles.

Cette faille dans le code SSL, présente depuis mars 2012, aurait permis en théorie à un hacker d'accéder à la mémoire système, qui peut contenir des informations ou des communications sensibles. La plupart des sites majeurs Internet ont immédiatement appliqué des correctifs (une mise à jour version 1.0.1g d'OpenSSL disponible depuis le 7 avril 2014), mais à l'heure actuelle, personne n'est en mesure de déterminer les implications d'éventuelles exploitations de cette faille de sécurité.

Pas de panique ! Adoptez les bons réflexes…
Il semblerait que les sites majeurs comme Google, Facebook, Twitter, Amazon, Microsoft ou Dropbox n'aient pas été concernés par le problème, ce qui n'aurait pas été le cas de Tumblr, Instagram, Pinterest… L'éditeur Symantec annonçait dès le 11 avril les sites du classement Top 1 000 d’Alexa ne sont plus vulnérables à la faille et que dans le Top 50 000, le pourcentage de sites vulnérables ne dépasse pas 1,8 %, ce qui prouve là encore une bonne réactivité des entreprises impliquées. Inutile d'amplifier le vent de panique qui a saisi Internet, personne ne sachant exactement si quelqu'un a pu exploiter réellement cette faille OpenSSL.
Le protocole OpenSSL est utilisé massivement, notamment sur les sites avec le fameux 'https'
Pour cela, la plupart des éditeurs de logiciels de sécurité proposent des outils gratuits de contrôle, comme c'est le cas avec Symantec ou McAfee (en anglais). Il suffit d'entrer l'adresse du site à vérifier et vous aurez généralement l'information sur le fait que le correctif ait été appliqué. Vous pouvez alors modifier vos identifiants et mots de passe par sécurité. Cela peut-être aussi l'occasion pour faire un point sur la sécurité de votre PC et installer, si ce n'est déjà fait, des logiciels de sécurité, gratuits ou payants. Certains analystes prédisent aussi de sérieux ralentissement d'Internet suite à ces changements massifs qui vont impliqués le renouvellement des certificats de sécurité induits...